接口,通常称为端口,是任何网络的重要组成部分。需要连接两台设备吗?这可能就像插入电缆一样容易,但是随后您’重新使用没有’遵循最佳做法,并且天生就没有安全感。

MSP在定义标准网络接口配置时应考虑许多事项。小型企业级设备被称为“托管”设备,这意味着我们可以登录并进行更改。我们可以对每个接口进行逻辑编程,以根据业务需求采取不同的行为。

在本文中,我们将重点介绍交换机(通常具有最多物理接口的设备),并帮助您定义适用于每个接口的基准配置。

标准化尽可能多的服务 尽可能地(包括在其上运行的硬件和配置)简化了对技术人员的培训和故障排除,并确保您为客户提供一致的产品和体验。

下面的清单列出了下次配置网络接口或刷新现有模板时需要考虑的关键事项。

接口配置清单

✔有描述

包括有关接口用途以及接口位置的详细信息’已连接。如果该接口连接到第三方设备,则包含相关信息(例如ISP的电路ID和电话号码)以便在出现问题时快速参考非常有用。但是不要’不要使用太多细节。 约翰的工作站 今天可能是一个很好的描述,但是如果约翰搬了桌子,’已过时。认为更像 前台接待。

✔使用开关回路技术

启用诸如 生成树,PortFast或BDPU,以防止由于将交换机自身连接并创建交换机而导致的(意外)循环 广播风暴 淹没了网络。

✔标准化关键网络设备连接

许多MSP将第一个端口配置为到上游(更靠近外围)第3层设备(如防火墙)的干线链接,将最后一个端口配置为到下游(更靠近用户)第3层设备的干线链接。

✔使用链接聚合

通过使用诸如以下的技术来提高链接的可靠性和容量 链路聚合。链路聚合是将一堆单独的以太网链路捆绑在一起的一种方式,因此它们充当单个逻辑链路。如果您的交换机具有大量的千兆以太网端口,则可以将它们全部连接到也具有大量端口的另一台设备,并平衡这些链路之间的流量以提高性能。许多技术人员甚至将电缆拉紧在一起,以从物理上区分捆绑的连接。

✔匹配VLAN ID

交换虚拟接口(SVI)弥合了虚拟计算机网络中交换(第2层)和路由(第3层)之间的差距 网段 —更通常称为VLAN(虚拟局域网)。 SVI具有用于路由的IP地址,您可以通过与它们关联的VLAN来定义它们。在中小型网络中,尝试将VLAN ID匹配到C类 子网掩码 使您和您的技术人员容易记住。例如,将VLAN 100关联到192.168.100.1/masksize。

✔关闭未使用的端口

如果您不打算在短期内使用该界面,请将其关闭。这样可以防止恶意或“有用”用户将设备插入他们不应该使用的端口’被使用。稍后打开端口通常是很小的更改,并且通常可以在维护时段之外完成。

✔减少串扰

最小化特定端口上发生的串扰。假设您正在管理寄宿学校或宿舍设置,每个居民都在此插上他们的计算机。在不强化配置的情况下,每个居民都有可能到达(甚至嗅探)发往其他人的流量。尽可能切换客户端隔离功能。

✔开启辅助工具

翻转mDNS中继和Bonjour发现,仅在需要时中继。网络打印机等设备在自动发现和打印作业中大量使用了这些协议,但并没有确切地知道它们是 安全.

网络接口

接口是网络上连接的主要点,用于在整个组织中发送和接收流量。它们还是抵御黑客,流氓设备和诚实错误的第一道防线。这篇文章中的准则允许您创建新的安全网络接口配置或更新现有模板。